企業会計審議会第23回内部統制部会 議事録

１．日時：令和４年11月８日（火曜日）10時00分～12時00分

２．場所：オンライン開催　※一部、中央合同庁舎第７号館 13階 共用第１特別会議室

 
【橋本内部統制部会長】
　おはようございます。定刻になりましたので、これより企業会計審議会第23回内部統制部会を開催いたします。皆様には、御多忙の中、御参加いただき、誠にありがとうございます。
　本日の会議でございますが、新型コロナウイルス感染症対策の観点から、企業会計審議会議事規則第１条第２項に則り、オンライン開催とさせていただきます。
　それでは、まず、会議の公開についてお諮りいたします。企業会計審議会議事規則第４条第１項に則り、内部統制部会の審議について公開することとしたいと思いますが、よろしいでしょうか。
　御了解を頂きましたので、本日の会議の模様はウェブ上でライブ中継させていただきます。
　なお、会議の議事録を作成し、金融庁のウェブサイトで公開させていただく予定ですので、よろしくお願いいたします。
　それでは、事務局より、オンライン会議の開催に当たっての留意事項をお知らせいたします。

【齊藤開示業務室長】
　事務局の企業開示課の齊藤でございます。
　オンライン開催に関して、２点注意事項がございます。
　まず、御発言されない間は、恐縮ですが、マイクをミュートの設定にしていただきますようにお願いいたします。御発言されるときには、マイクをオンにして、ミュート解除で御発言していただき、御発言が終わられましたら、またミュートにしていただくということでお願いいたします。また、支障のない範囲で構いませんけれども、会議中はお顔が見られるように、カメラの設定をオンにしていただきますようお願いいたします。
　第２点目として、発言を御希望される際ですが、チャット機能を使って、全員宛てに発言希望である旨とお名前を共に入れてお送りください。お名前については協会名などの組織名でも結構ですので、御入力ください。それをこちらで確認させていただいた上で、部会長から指名させていただきたいと思います。なお、御発言に際しては、念のため、御自身のお名前を名乗っていただいた上で御発言いただければ幸いでございます。

【橋本内部統制部会長】
　それでは、審議に入りたいと思います。
　先日、10月13日に開催されました企業会計審議会第22回内部統制部会におきまして、内部統制報告制度について御議論が行われ、委員の皆様からは、多くの御意見等を頂戴いたしました。本部会では、まず前回、第22回内部統制部会の主な議論を御紹介し、それらを踏まえた内部統制報告制度の見直しの方向性について事務局から説明いただいた後に、御質問、御意見をお伺いしたいと思います。
　それでは、事務局から説明をお願いいたします。

【齊藤開示業務室長】
　橋本部会長、ありがとうございます。それでは、お手元の事務局資料に沿って説明をさせていただきます。今回は、論点ごとに左側に前回の議論、右側に、それを踏まえた内部統制報告制度の基準、実施基準などの見直しの方向性（案）をお示しさせていただいております。
　早速、論点①からまいります。１ページを御覧ください。内部統制の基本的枠組みに関して、ガバナンス、ERM、COSO等についてでございまして、前回は制度の見直しは高い頻度で実施すべき、特に大企業では対応を特段変えるべきという問題はなく、既存の制度趣旨を再確認、徹底していくことが重要。また、ガバナンス、ERM、内部統制の関係を明示し、内部統制は企業価値向上に資するなど、内部統制の重要性を基準等で強調すべき。COSOの原則と着眼点の内容については、必要に応じて、実施基準の全社的な統制評価項目に盛り込むべき。ERM、ガバナンス、COSOは、各々のリスクの概念が、現行制度のリスクの概念と必ずしも一致しない点について留意が必要。不正対応は、企業が主導し監督すべき。不備は許容可能なものに抑えればよく、隠さないで報告、改善することが重要。不備を改善できるプロセスを評価すべきといった御意見を頂戴しました。
　右側の内部統制報告制度の基準・実施基準の見直しの方向性（案）でございますけれども、１つ目は、内部統制の基本的な枠組みにおいて、内部統制とガバナンス及びEAMとの関係を明記することが考えられますでしょうか。
　２つ目は、内部統制の基本的要素において、COSO等を参考に内部統制の基本的要素を充実させるために考慮すべき事項について、御意見を頂戴できますと幸いです。
　３つ目は、内部統制の基本的要素の特にリスクの評価と対応において、不正に関するリスクに関する記載を充実させるために考慮すべき事項、これについて御意見を頂戴できますと幸いでございます。
　次の論点にまいります。４ページを御覧ください。ここでの論点は、非財務情報についてでございます。前回はサステナビリティ情報、非財務情報の重要性が増大しており、社会的要請が強く、企業の財務情報への影響も大きいため、このような非財務情報についても内部統制の評価とすべきといった御意見を頂戴しました。
　右側、見直しの方向性（案）でございますけれども、財務報告の範囲にサステナビリティ情報等の非財務情報を追加することについて、どう考えるかということで、このことについて、まずサステナビリティについては、開示や保証について、今後議論されることを踏まえまして、今回の見直しで範囲に追加するのではなく、中長期的課題と位置付け、この点の重要性を前文で記載することが考えられますでしょうか。また、内部統制の基本的枠組みの中で、財務報告を非財務情報を包含する報告に変更しつつ、現行の金融商品取引法における評価範囲は従前どおり財務報告に関するものであることを明記するということも考えられますでしょうか。これらの点について御議論いただきますと幸いです。
　次の論点でございます。７ページでございます。ここでの論点は、経営者による内部統制の無効化についてでございまして、前回の御意見といたしましては、内部統制の無効化に対し、内部統制を機能させるためには、ガバナンス、ERMに関する手当てが必要。社外取締役や監査役による監視、内部監査部による監査など、経営者に対する牽制機能が重要。取締役、監査人などの連携や役割の整理、デュアルレポーティング体制の確保等、基準見直しが必要といったものを頂きました。
　右側、見直しの方向性（案）でございます。内部統制の基本的な枠組みの中に内部統制の限界の記述がございますけれども、これについて、経営者が不当な目的のために内部統制を無視ないし無効ならしめる行為に関する記載を充実させるために考慮すべき事項について御意見を頂戴できますと幸いです。
　また、内部統制に関係を有する者の役割と責任という、ここの記述についても、取締役会、監査役等などの記載を充実させるために考慮すべき事項、これについても御意見を頂戴できますと幸いです。
　次の論点は10ページになります。ITへの対応についてでございまして、前回の御意見は、企業の業務におけるITの技術の状況も大きく進展しており、内部統制の検証に当たって考慮すべき内容の再検討が必要と。また、IT関連は特にリスクが高いと、とりわけセキュリティについて記載を拡充すべきであると、クラウド環境の統制、外部からのシステムアクセス、サイバー攻撃等、踏み込んだ記載があってもいいのではないかといった御意見を頂戴しました。
　右側、見直しの方向性（案）でございますけれども、内部統制の基本的な枠組みにあるITへの対応ですね。この記載を充実させるために考慮すべき事項、御意見を頂戴できますと幸いです。
　また、特に業務プロセスに関する内部統制の評価に関して、ITに係る全般統制及び業務処理統制に関する技術、これを充実させるために考慮すべき事項についても御意見を頂戴できますと幸いです。
　次の論点は14ページでございます。経営者による内部統制の評価範囲についてでして、前回は、まずリスクアプローチについては、評価範囲の決定に際してリスクアプローチの徹底を改めて強調して、実務的なガイダンスを示すべきで、例えば、全社的内部統制、重要な事業拠点、事業の目的に大きく係る勘定科目などの評価範囲決定時に用いる視点を具体的に示すと有用と。業務効率化にもつながると御意見を頂きました。また、経営者は十分な情報を有する必要があり、そのために人的リソース、特に内部監査部門の拡充が必須であって、基準等でこの部門の重要性を強調すべきと。また、評価範囲外となった子会社等については、重要性に応じてローテーションで評価対象とすべきではといった御意見を頂戴しております。
　また、評価範囲に係る数値基準の数値のところですけれども、これが制度形骸化の一因であって、基準等から削除すべきではないか。また一方で、この数値があることで安定的な実務が遂行されていると、これを撤廃すると評価範囲がいたずらに拡大するおそれがあり、撤廃は慎重に考えるべきという、そのような御意見も頂戴しました。
　右側、見直しの方向性（案）でございますけれども、範囲の決定の記載を見直すに当たって考慮すべき事項について御意見を頂戴したいと思っておりまして、特に数値のところですね。数字と三勘定の例示を削除して、例えば、意見書の前文などで、これらを削除した理由及び、これらの今後の実務における利用というのを否定するものではないということについて記載することが考えられますでしょうか。または、これらの数値とか三勘定の例示ですね。これはそのままにしておいて、リスクベースの考え方の記載を充実させるということも考えられるでしょうか。また、内部監査人の記載を充実させるということについて、こちらについても御意見を頂戴できますと幸いです。
　次の論点は15ページでございますけど、これも内部統制の評価範囲についてでございまして、こちらは内部統制報告書の開示関係でございます。こちらについての御意見としては、範囲の決定方法、根拠について、経営者と監査人で協議すべきと既存の基準等に記載があります。その趣旨を徹底すべきと。また、協議の経緯等に関する透明性の向上が必要なのではないかと。また、過年度に存在した開示すべき重要な不備の改善状況、これも内部統制報告書利用者に有用な情報を充実させてはどうかといった御意見も頂戴しました。
　右側、見直しの方向性でございますけれども、監査人との協議等の記載を充実させるために考慮すべき事項について、御意見を頂戴できますと幸いです。また、このような内部統制報告書の記載事項を示した関係府令の改正の検討もございます。
　次の論点は23ページになりまして、ここでの論点は、監査人による内部統制監査についてでございます。前回は評価範囲の決定方法及び根拠について、経営者と監査人で協議すべきと、既存の基準等に記載がございますけれども、その趣旨を徹底すべきと。また、協議の経緯等に関する透明性の向上が必要と。さらに、あくまで経営者が内部統制評価を行う点を踏まえることが重要。経営者による評価がリスクベースとなれば、経営者と監査人の協議が活発になり、その実効性向上につながるでしょうという御意見を頂きました。
　また、ダイレクト・レポーティングについては、ダイレクト・レポーティングに変更して、監査人が財務諸表監査における内部統制の整備・運用状況の検討結果を基礎として、全体として内部統制に対する監査意見を表明する制度に変更したほうがよいのではないかとの御意見を頂きました。
　一方で、ダイレクト・レポーティングについては、この採用については、デメリットも踏まえ、慎重に検討が必要と、監査法人のリソースに鑑みても厳しいといった御意見も頂戴しております。
　右側、見直しの方向性でございますけれども、この内部統制の監査などについて、経営者によるリスクベースの内部統制評価を促していく観点から、この監査を見直すべき点について御意見を頂戴できますと幸いです。例えば、以下の事項等を検討することが考えられるでしょうか。１つ目は、経営者と監査人の協議の促進。監査人による経営者の評価範囲の妥当性検討において、財務諸表監査の監査証拠のさらなる活用。また、内部統制報告書、または監査報告書における開示の充実などが考えられますでしょうか。
　また、２つ目と示させていただいておりますのが、監査人の方は内部統制報告書の表示の適正性について意見を表明されておりますけれども、なお、これに加えて、内部統制の有効性の評価の表明も求めるということも考えられますでしょうか。
　次の24ページも監査についてでございまして、前回は内部統制に開示すべき重要な不備があった場合でも、その内容が内部統制報告書に適正に記載されている場合は監査人から監査報告書で、シンプルに適正という意見が表明されるということであります。もちろん、追記事項などで補足情報が書かれるわけですけれども、この建付けは理解しにくいといった御意見も頂戴しております。
　右側、見直しの方向性でございますけれども、特に内部統制監査報告書の記載区分において、内部統制監査報告書の記載を充実させるために考慮すべき事項として、例えばですけれども、内部統制報告書の内部統制の評価結果において、内部統制は有効ではない旨を記載している、このような限られた場合に限って、適正意見の部分に内部統制は有効ではない旨を追記することも考えられるでしょうかということでございます。
　次の論点は35ページになります。こちらの論点は内部統制報告書の訂正時の対応についてでございます。前回は御意見としてアカウンタビリティの観点からも訂正時の経緯、判断理由などの記載は有用と、訂正内部統制報告書を提出した会社は不備を改善するという経営者によるコミットメントを表明して、範囲を絞り込まず、改善状況を翌年の内部統制報告書で示すことが望ましいと。また、開示すべき重要な不備を適切に開示している企業にはメリットが与えられて、後から問題があったら報告すればよいという会社には何か負荷がかかるような形は考えられないかといった御意見を頂戴しました。
　右側、見直しの方向性（案）でございますけれども、このような訂正内部統制報告書の記載事項や、または前年度に開示すべき重要な不備が存在することを表明した場合の取扱いを明記することは考えられるでしょうかということでございます。
　最後、38ページにまいります。こちら中長期的な課題ということでございますけれども、前回は御意見として、将来的に会社法と金融商品取引法の内部統制が統合した場合、内部統制の４つの目的をカバーして総合判断できるように見直すべきという御意見。また、定期的な開示から臨時的な開示に金融商品取引法が動いているのであれば、臨時報告書の関係での内部統制も意識すべき。また、有価証券報告書における経営者確認書の記載の充実化や罰則規定の見直しも諸外国の事例も参考に議論すべき。さらに訂正報告に対する監査証明を求めるかについては、保証の内容等を含め、慎重な検討が必要ということを頂きました。これら中長期的な論点を検討する際、留意すべき事項について御意見を頂けますと幸いです。
　資料についての事務局説明は以上でございます。本日御欠席の引頭臨時委員と吉野臨時委員から御意見を頂いております。意見書については、本日の会議終了後、金融庁のウェブサイトにおいて公表予定でございます。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございました。
　それでは、以上の御説明を踏まえまして、討議に移らせていただきます。皆様方から御質問、御意見をお願いいたします。
　なお、前回、かなり白熱した議論になりまして、時間をオーバーしてしまいましたが、お一人１回の発言しか得られなかったことで、非常に議事進行上、反省をいたしております。それも踏まえまして、本日は多くの委員の皆様方に御発言いただき、その御発言を踏まえた御議論の時間を確保する観点から、恐縮ですが、御発言の時間としては、お一人３分を目安にしていただければありがたく存じます。チャット機能を使って、発言希望である旨をお送りください。
　なお、途中退席を予定されている委員などもおられますので、そういった委員の方の発言を優先させていただきたいと思います。
　また、今日は双方向の議論もできるように、後半部分では、それぞれの御発言を踏まえた上で、再度、討議ができるような形で進行してまいりたいと思いますので、どうぞよろしくお願いいたします。
　それでは、まず、途中退席の予定ということで、成田委員、御発言ございますでしょうか。

【成田委員】
　成田でございます。前回に引き続き、私が所属する監査法人の意見ではなく、個人の意見である旨、申し添えさせていただきます。
　なお、全ての項目に意見を述べると10分以上かかりますので、私からは論点②以降の意見を述べさせていただきます。
　経営者による内部統制の評価範囲でございますが、前回申し上げたとおり、リスクベースでの評価範囲を決定したほうがよいと考えます。
　実務上、全社的な内部統制の、例えば売上高の95％、重要な事業拠点の、例えば売上高の３分の２程度という数値基準があることで、必ずこの基準は守ってまいりました。
　しかし一方で、その基準にプラスして評価範囲に入れる会社は必ずしも多くないため、開示すべき重要な不備が評価範囲外から検出されているというのも事実です。
　参考としてでございますけれども、連結の範囲からの除外基準がございますが、資産基準、売上高基準及び利益基準は、私が監査法人に入社したときは、いずれも10％基準でございまして、それは連結財務諸表規則取扱要領に規定されていました。その後、この10％基準については1993年に削除されましたが、しかし、日本公認会計士協会の監査委員会報告の中で、連結の範囲から除外できる数値の参考として、「３ないし５％」という数値が示されていました。その後、この基準が公表されてから10年近くたったということで、2002年に削除されてございます。今回の内部統制の数値基準についても、この連結範囲の除外の数値基準に倣って、今回、例えば、内部統制基準、実施基準からは数値基準を削除して、前文で削除した理由とリスクベースで評価範囲を決定することを記載して、内部統制報告制度に関するQ&A、または日本公認会計士協会の実務上の取扱い等の実務的なガイダンスにおいて、リスクベースでの考え方及び数値基準の取扱いについて記載することとしてはどうかと考えております。そして、今後また数年経過したときに、数値基準について完全撤廃することでもよいかと考えております。
　次に論点③でございますが、監査人による内部統制監査ですが、経営者によるリスクベースの内部統制評価を促していく観点から、経営者と監査人の協議の促進は実施すべきであると考えております。経営者の評価範囲がリスクベースになれば、監査人による財務諸表監査において、監査証拠として利用できるものも増加すると思っております。
　内部統制報告書において、経営者が評価範囲について、どのように考え、どう決定したかについて開示してはどうかと考えております。なお、これに併せて、内閣府令の改正を検討したほうがよいと考えております。
　次に、監査人に対して内部統制報告書の表示の適正性に加えて、内部統制の有効性の評価の表明を求める点でございますけれども、リスクベースの内部統制が浸透してからでないと困難であると私は考えております。評価範囲の適切性の判断基準については、主観的によることが大きく、現状、経営者と協議をしても、経営者に対して評価範囲の見直しを促すことはできない場合もございました。したがって、リスクベースの内部統制が浸透してからの方がよいかと考えております。
　監査人の内部統制評価をダイレクト・レポーティングに変更した場合については、経営者による内部統制評価との相違を内部統制監査報告書に開示することも考えられると思います。しかし、前回述べましたように、監査人の内部統制評価にダイレクト・レポーティングを採用する場合には、監査人の工数が増加するということで、現在、監査法人側のリソースが逼迫している状態でございますので、中期的な課題とすることでもよいと考えております。
　次に、監査人による内部統制監査報告書でございますが、内部統制に開示すべき重要な不備があった場合でも、その内容が内部統制報告書に適正に記載されている場合については、内部統制監査報告書の文言も「財務報告に係る内部統制の評価結果について、「すべての重要な点において適正に表示しているものと認める」と記載されることになっております。そこで開示すべき重要な不備があった場合の文言は、「すべての重要な点において適正に表示している」との文言は、これは変更してはどうかと考えております。それに伴って、内閣府令を改正したほうがよろしいかと考えております。
　次に、論点④の内部統制報告書の訂正時の対応でございますが、前年度に開示すべき重要な不備が存在することを表明した場合の取扱いでございますが、実務上、開示すべき重要な不備を公表した会社の次年度の内部統制報告書の特記事項に、その是正状況について記載している場合がございます。現在、特記事項としては、「財務報告に係る内部統制の評価について特記すべき事項がある場合には、その旨及びその内容を記載すること」とされております。今後は、この特記事項に、前年度に開示すべき重要な不備を公表した場合の是正状況について必ず記載することとしてはどうかと思っております。また、内部統制監査報告書に、その是正状況についての監査人の評価を記載してはどうかと思います。上記に併せて、内閣府令の改正を検討することが望ましいと考えております。
　次に、中期的な論点でございますが、経営者による内部統制無効化の対応については、課徴金の強化や罰則規定の見直し等で議論すべきであると考えております。また、非財務情報については、サステナビリティの開示や保証について、今後議論されることを踏まえまして、開示や保証が決定してからでよいと思いますので、中期的な課題ということでよいと考えております。
　また、ダイレクト・レポーティングの採用についても、現在、監査人の工数が増えると、監査法人が逼迫しているということで、すぐの対応は困難なため、中期的な課題ということでもよろしいかと思っております。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、小畑委員、お願いいたします。

【小畑委員】
　小畑でございます。ありがとうございます。
　前回も申し上げましたけれども、現行、実務は基本的には円滑に実施されておりまして、今回、内部統制の基準等々、特段見直さなければいけないという問題意識はあまりないという状況でございまして、そういう前提の下で、特にやるべきではないと強く思っているところを中心に申し上げさせていただければと思っております。
　まず１点目、確認でございますけれども、この資料の１ページ以下で、いろいろなところに出てきておりますけれども、基準や実施基準の１、内部統制の基本的な枠組みというところについて、いろいろ改めてはどうかという御提案、書いておりますけれども、この点は、基本的には考え方の整理ということにとどまっておる話であって、今後も財務報告に係る内部統制の評価・報告の実務に直接影響するという性質のものではないというところを１点、事務局のほうに確認させていただければと思います。
　それから、３点、意見を申し上げたいと思いますけれども、まず資料の４ページ目ですね。サステナビリティ情報の非財務情報を追加することについてどうかというところでありますけれども、現在、サステナビリティ情報等の非財務情報の開示については、そもそも開示基準自体が開発途上ということでありまして、この非財務情報開示を直接検討しているディスクロージャーワーキング・グループでも、今後の課題を整理して、ロードマップを整理していきましょうと、こういう議論をしている最中でありますので、こういった将来の話について、まだまだ基準とか、あるいはここにあります前文、そういったところにも書き込むということは時期尚早であるというふうに考えております。これが１点目でございます。
　その次、２点目ですね。資料14ページですね。リスクアプローチ、それから数値基準のところでございますけれども、まず数値基準、それから三勘定の例ですね。これは現状どおり存置すべきであるというふうに考えております。こうした一定の目安があるということで、非常に実務が安定的・標準的に運用されているというメリットが非常に大きいというふうに考えております。撤廃することによる混乱が生じるということのデメリットは非常に大きいというふうに思っております。
　もっとも、リスクアプローチを強調していただくことは非常に重要だというふうに考えております。この点は現行基準でも、経営者は金額的及び質的影響の重要性の観点から評価の範囲を検討すると、記載されており、リスクアプローチというのは、今の基準の中にもしっかり組み込まれているということでありますので、その重要性をしっかりと強調していただければよいのではないかと考えております。現行の実務上も、数値基準であぶり出された対象に追加する形で、質的観点からも対象を加えていると、こういう実務が運用されているということも踏まえて検討いただければと思います。
　最後、資料の23ページでございますけれども、監査人による内部統制監査というところで、①、②という選択肢が示されているわけですけれども、特に②については、こういった選択肢はあり得ないと考えております。現在のインダイレクト・レポーティングの仕組みというのは、企業のみならず、監査人側の負担を大いに軽減するということにも役立っており、これによる特段の不都合は生じていないというふうに考えておりまして、現状の仕組みを、ぜひ維持していただきたい、こういうふうに考えております。
　私からは以上でございます。

【橋本内部統制部会長】
　ありがとうございました。
　基本的枠組みの立ち位置、位置付けについて、事務局から御説明お願いします。

【齊藤開示業務室長】
　ありがとうございます。
　今、小畑委員から御指摘がありましたとおり、基本的枠組みのところについては、経営者が整備・運用する役割と責任を有している内部統制、それ自体の定義、また概念的な枠組みを示しているというところでございます。ですので、これ自身が経営者による評価とか報告とか内部統制の監査、それ自体の実務上の基準ということではなくて、それの前提となっているところでございます。
　ということですので、もし、ここの部分について何か変えるということであれば、その部分が金融商品取引法の財務報告に関する内部統制報告制度について、何か影響を与えるのかどうかとか、そういう点についても明らかにしながら、この見直しというのはしていく必要があるというふうに考えております。
　そういうことも踏まえまして、例えば、非財務情報のスライドの御説明は気を付けております。内部統制の基本的枠組みのところを何か変更するということであったとしても、それが現行の金融商品取引法の内部統制報告制度に影響を与えないというようなところとか、そういうところに気を付けて、ここは資料のほうに記載させていただいたと、そういうことでございます。

【橋本内部統制部会長】
　小畑委員、よろしいでしょうか。

【小畑委員】
　丁寧に御説明いただきまして、ありがとうございました。

【橋本内部統制部会長】
　ありがとうございます。
　それでは、続きまして、藤本委員、お願いいたします。

【藤本委員】
　藤本です。それでは、私からも一通りコメントさせていただきます。
　まず、このように資料を大変分かりやすくまとめていただきまして、ありがとうございます。
　まず、内部統制の基本的枠組みのガバナンス、ERMの辺りでございますが、こちら明記することには賛同いたします。
　それから不正リスクなのですが、まず記載場所として、内部統制の基本的要素を掲げておられますが、これは基本的要素を記載する箇所であるので、内部統制の限界のところで記載してはどうかと考えております。
　また、記載内容については、不正リスクの評価の重要性や内部統制の限界についての考え方も含めて、より具体的に充実化をさせていくことが望ましいと考えております。
　なお、リスクについてですけれども、ERMのリスクと財務報告に係る重要な虚偽表示リスクの２つの概念が生じてくると考えておりますので、それぞれの定義を分かりやすく明記をすることが必要だと考えております。
　続いて、非財務情報でございます。サステナビリティ情報等については、内部統制の基本的な枠組みで触れることは望ましいと考えております。
　なお、サステナビリティ情報の開示や保証の議論は、国内外の動向も含めて進捗をしているところでございますので、具体的な内容については中期的な課題とし、将来的に評価及び報告書の報告のセクションに記載していくということが考えられると思います。
　続いて、ITへの対応ですけれども、昨今のITの進展に合わせた改訂を行うことには賛同しております。ただ、ITにおけるクラウド環境などの記載については、ビジネス環境の変化が非常に速いということもございますので、基準や実施基準などの言及においては原則や考え方を記載するなど、少し工夫が必要ではないかと考えております。
　それから、内部統制の評価範囲でございます。まず、リスクベースのアプローチの概念の強調については賛同いたします。しかしながら、数値基準や三勘定に係る例示の削除による実務上の混乱や、リスクベースのみを強調することによって、逆にリスクを絞り過ぎてしまうことによって経営者評価が適切に行われなくなることも考えられると思います。したがって、まずはリスクを識別した上で、そのリスクに基づく事業拠点の選定に当たっては、一定のカバレッジも確保ができるように、一般的にリスクが高いと考えられる領域や数値基準等の客観的な指標を示すことも有用ではないかと考えております。
　なお、リスクベースを強調するに当たっては、全社統制の考え方、すなわち全社的な内部統制の整備、運用、それからこれらの評価の実効性の確保が重要であるということも改めて確認をする必要があると考えております。
　また、内部統制報告書における開示内容の充実化については賛同いたします。
　続いて、監査人による内部統制、監査ですけれども、まず経営者によるリスクベースの内部統制評価を促していく観点ということがございますが、この点に関しては、経営者による内部統制報告書の充実を促進していくということが、まずは肝要ではないかと考えております。経営者は財務報告に係る重要な虚偽表示リスクを識別し、リスクに対応する内部統制の整備、運用に取り組む責任があると考えております。まずは経営者の責任を明らかにすべきであって、その内容を内部統制報告書に記載すべきと考えております。
　監査人の内部統制報告書、内部統制監査報告書に関しては、経営者による内部統制報告書が充実化され、実務への定着を踏まえてから検討することが合理的であり、現時点では時期尚早と考えております。
　また、訂正時の対応でございますが、この方向性については賛同しておりますが、訂正することイコール内部統制の開示すべき重要な不備があると短絡的に経緯や理由を記載するのではなくて、経営者が当初の結論を訂正せざるを得なかった適切な事情を十分に説明させることが必要であると考えております。例えば、当初の評価日現在においては、本来、入手可能な情報が入手できなかった事情ですとか、あと隠蔽、共謀、経営者の内部統制の無効化等も含めて記載を行うことが考えられると思います。
　私からは以上でございます。ありがとうございます。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、後藤委員、お願いいたします。

【後藤委員】
　後藤でございます。
　まず、最初の論点①の内部統制の基本的枠組みのところでございますが、内部統制の基本的な枠組みにおいて、ERMやCOSO等の考え方や議論があるということを記載するという点については賛同いたします。
　ただ一方で、実務的に考えますと、会社法と金融商品取引法と２つの大きな枠組みに基づいて動いているというところがございます。会社法においては、非財務報告も含めた全社的な内部統制を規定し、金融商品取引法では財務報告に係る内部統制を対象としたものというふうに考えております。したがって、基準や実施基準にERM、ガバナンス、COSO等について言及するとしても、金融商品取引法における内部統制報告制度のものであるという点を明確にすることが大事ではないかと思います。
　サステナビリティについては、開示や保証について、今後、議論されるということですので、中長期的課題と位置付けて、この点の重要性を前文で記載するというのは適当ではないかというふうに考えます。
　ただ、サステナビリティに限らず、非財務情報を財務報告の範囲に追加するということをいたしますと、金融商品取引法の内部統制報告制度の範囲を超える対応を求めるというふうに誤解されるようなことも生じかねないので、実務上の混乱を招くおそれがございます。
　財務報告を報告に改めるという点についても、実務の混乱を招くおそれがあるのではないかと危惧するところでございます。
　それから、論点①の基本的な枠組み③のところで、取締役会、監査役等などの記載を充実させるために考慮すべき事項ということですけれども、この点は、それぞれの機関が有する権限や果たすべき職責に基づいて、緊密な連携を図るといったところの強調が大事じゃないかというふうに考えるところです。
　それから、④のITのところですけれども、これは昨今、DXとかコロナでのテレワークの増加とか、いろいろな状況の変化がありますので、昨今の状況に応じた記載というのがあってもいいのかなというふうに考えるところでございます。
　それから、論点②の評価範囲のところですけれども、やはり実務的に考えますと、円滑な実務運用ということが極めて重要ではないかと考えますので、やはり一定の例示は必要かなというふうに考えます。したがいまして、数値基準、三勘定に係る例示を存置しつつ、リスクベースの考え方も記載を充実させるということが適当な方向性ではないかというふうに考えるところでございます。
　次に、論点③の監査人による内部統制監査というところでございますが、①のところで、例えばということで、（１）、（２）、（３）を実施することが考えられるという点ですが、この点については特段の異存はないところでございます。ただ、②の内部統制の有効性の評価の説明を求めるというところは、やはり実務における円滑な導入の重要性ということを鑑みますと、この辺のところはやはり慎重な検討としっかりした準備が必要ではないかというふうに考えるところでございます。
　それから、中長期的な課題について、いずれの課題についても、繰り返しになりますけれども、実務上の円滑な導入、運用というものを十分考えて、しっかりした準備が必要ではないかと考える次第でございます。
　以上です。ありがとうございました。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、水口委員、お願いいたします。

【水口委員】
　水口です。どうもありがとうございます。私からは３ポイントに関する意見です。
　１点目は、ガバナンス、リスク管理、内部監査などについてです。企業を取り巻く環境が変化して、リスクが複雑化している中で、ガバナンスの実効性、また経営戦略と紐付いたリスク管理の実効性、内部統制の実効性の相互の関係性が強い旨を基準に反映するということは妥当であると考えております。こうした内容を明記することが、事業環境変化が激しい昨今における内部統制の在り方を関係者が再度深く考えるよい機会になればと期待しております。
　また、経営戦略と紐付けてリスク部門が洗い出した事業等リスクが戦略との結び付きも意識できる形で社外取締役や監査役と共有されることがガバナンス機能の発揮に向けて非常に重要なこと、またリスク管理部門が洗い出した事業等リスクを踏まえることで、実効性のある内部監査も視野に入れ得ること、それから内部監査からの情報を活用することが、監査役等の機能の実効性に貢献し得ることなど、デュアルレポーティングなどについても基準に明記する形で強調することも大いに意義があるのではないかと考えております。
　また、M&Aを伴うグローバル展開等も含めて、事業リスクが複雑化・多様化する中で、内部監査部門については経営戦略と紐付けた視点を重視しつつリスク管理部門が洗い出した事業等リスクを視野に入れ得るような内部監査部門の質の向上も必要である旨を基準において強調することが妥当であると考えております。
　２点目、内部統制の評価範囲の選定基準についてです。内部統制の評価範囲の選定基準については、企業を取り巻く環境が非連続的に変化していると認識しておりますので、硬直的・形式的なアプローチに陥ることなく、企業固有の事業等リスクを踏まえる形でのリスクベースを強調することの重要性は高まっていると思います。
　企業固有のリスクに目を向けて検討した結果として、先ほどリスクベースのみを強調することによって、経営者評価が適切に行われなくなる可能性についての御指摘もあったりもしましたけれども、企業が数値基準を活用することを選択することもあり得ると思うのですが、そうした場合も含め、そのリスクベースの考え方の開示を求めるような旨を基準に明記することも考察に値するのではないかと思っております。
　また、経営者が内部統制評価を行う点は踏まえた上で、評価範囲の決定方法及び根拠については監査人が財務諸表評価の監査のときに、いろいろな視点でもう既に考察しているところでもありますし、経営者と監査人の間で前広に深度ある協議をすべき旨を基準で強調することが妥当であると考えております。
　３点目、内部統制報告書の訂正時の対応ですが、アカウンタビリティの観点からも、訂正時の経緯、判断理由、改善に対するコミットメント、それに加えて翌年の内部統制報告書における内部統制の改善状況に関する記述など、ポイントを押さえた開示は有用である旨を基準に何らかの形で明記するなどが視野に入るのではないかと考えております。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、堺委員、お願いいたします。

【堺委員】
　堺です。
　まず論点①の①、内部統制、ガバナンス、ERMの関係は、内部統制基準の基本的枠組みの中でCOSOが示した概念図を参照しながら説明するのがよいと思います。
　論点①の②非財務情報。サステナビリティについては中長期的課題と位置付けて、この点の重要性を前文で記載することが望ましいと考えます。
　「財務報告」を「報告」に変更することについてですが、財務報告を「現在及び将来の財務諸表に重要な影響を及ぼす可能性のある情報」という「未財務情報」を含むものとして、それらに係る内部統制の整備、運用を促す記載をしてはどうかと考えます。
　論点①、④ITへの対応。グローバルに広がるサプライチェーンを視野に入れると、ITは「内部統制の一つの構成要素」というよりは、「事業活動のインフラ」として捉えるべきと考えています。あらゆる組織にとってのインフラという観点から、データガバナンス、セキュリティ及びAIやクラウドなどの新たな状況への対応などについて記載することが必要と考えます。
　論点②経営者による内部統制の評価範囲①。数値等の例示を削除し、数値等の例示を削除した理由と今後の実務で数値基準等の利用を否定しないことについて前文で記載すべきと考えます。これにより、評価範囲について経営者が毎年しっかり見直すことを促す効果があると考えます。
　内部統制に関係を有する者の役割と責任ですが、内部監査については、デュアルレポーティングや社外取締役との連携強化を盛り込むべきです。これは経営者による内部統制の無効化を防ぐ効果も期待できます。また、内部監査部長及び内部監査人の資質、経験、専門資格取得など、具体的な要件についても言及すべきと考えます。
　論点③、監査人による内部統制監査のうち、内部統制監査の見直すべき点については、①として示された方法が望ましいと考えます。監査人による内部統制監査②のところで、内部統制報告書で、評価結果として内部統制は有効でない旨を記載している場合は、「経営者が内部統制は有効ではないと述べていることは妥当である」というような分かりやすい記載が望ましいと考えます。
　論点④、訂正報告書ですが、訂正した際の判断事由を開示させるべきと考えます。
　論点⑤、その他ですが、罰則規定の見直しについては、中長期的というよりは、できるだけ早い時期に対応すべきと考えます。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、髙畑委員、お願いいたします。

【髙畑委員】
　御指名いただきました髙畑です。金融庁事務局の皆さん、資料作成、ありがとうございます。
　１ページ目、論点①の①、攻めと守りの両面からサステナブルな経営を推進するためにも、内部統制の大切さを強調しつつ、ガバナンスとERMの関係を明確にすることには賛成です。その際、ERM、全社的リスクマネジメントの趣旨を、きちんと記載したいと考えています。ERMはただのリスク管理ではないということです。そもそもERMの定義は、組織が価値を創造・維持し、実現過程においてリスク管理するために依拠する、戦略策定やパフォーマンスと統合されたカルチャー・能力・実務、となっています。ERMはカルチャーの土台の上に、リスク分析の結果を基にリスクを許容するのか、軽減するのか、回避するのかなどを考えて、PL・BSを含めた企業ビジネス戦略の策定に生かして実施し、PDCAを回していくということです。
　また、ERMのメリットは、ビジネス機会を拡大し、マネジメントのサプライズを減らして、利益と優位性を増やし、全社的なレジリエンスを強化するということですので、取締役会での監視活動にも有効だとされています。
　４ページ目、①の②、気候変動対応を含むサステナビリティについて、前文で中長期的な課題と記載すること、に賛成です。例えば、気候変動対応については、大企業や銀行ではIEAやNGFSに基づく炭素税が賦課された場合のPLへの影響についてシナリオ分析をしていますが、業種にもよりますが、財務への影響は大変大きい。非財務情報はESG投資の観点を含め、投資家にとっても大変重要な情報を含んでいることを強調したいと思います。
　なお、ディスクロージャーワーキング・グループで第三者保証の議論がされており、第三者保証機関が用いる評価基準、認定機関としての要件、監督官庁による監査など多くの論点がありますので、早い段階で本内部統制部会の意見との摺り合わせの機会があればと思っています。
　10ページ目、論点①の④、ITの統制については、近時、重要性が増しているセキュリティの観点から、情報の重要性、完全性、正確性について記載し、加えてサイバーセキュリティの観点から、情報の機密性、完全性、可用性について、注意喚起の意味からも追記することに賛成です。
　14ページ目、論点②の①、評価範囲外から開示すべき重要な不備が頻繁に発見されたということが大きな問題の所在だと思っています。対応策としては、企業側がリスクアプローチを徹底して、評価範囲を計画し、早期に評価範囲を修正できる早い時期に監査法人と協議することが解決策だと思っています。
　リスクアプローチについては、リスクを識別、判断、管理することですが、単純ではありません。リスクとは顕在化した事象と将来起こるかもしれない潜在的な事象の２面から検討する必要があります。COSO-ERMの定義にも、リスクは潜在的な事象が顕在化することかどうか不明な状況、と定義されています。したがって、財務諸表に基づく定量評価に加え、潜在的な最大損失額や発生可能性なども考慮して、初めてリスクアプローチとして検討したことになると思います。そういう意味で、数値基準を適用しただけでは、リスクアプローチをきちんと適用したことにならないと考えています。
　数値基準の削除については、大きなメリットとしては、リスクアプローチが一層浸透することにあると思っています。一方、デメリットとしては、各企業の置かれている内部統制の環境に応じて評価範囲が拡大する場合もありますが、逆に縮小する場合もあるということです。適正に内部統制環境から判断された結果であれば良いのですが、95％や３分の２の根拠を合理的に説明できず、内部統制の状況に関係なく80％でいいよね、半分でいいよねという議論が出てくるかもしれません。
　付け加えると、実務家の観点からは、J-SOX企画部署は子会社社長や事業部門の役員に評価範囲拡大を説明すると思いますが、金融リテラシーやリスクマネジメントに詳しくない方が多いと思いますので、社内調整に大変苦労されるかもしれません。実務家に配慮して、実施基準でなくても、Q&Aなどにおいて言及しておいてもよいかなと考えています。
　次に、内部監査機能については、上場時に求められた独立した内部監査部署の維持や、CIA資格の保有者などの専門知識のある専担者を置くことなどを記載することによって、内部監査の弱体化を防止し、内部統制機能の更なる強化、活用ができるように記載できればと考えているところです。
　最後に38ページ、論点⑤、将来、会社法と金融商品取引法の内部統制が統合した場合、実効性の向上と業務効率化の観点から、内部統制の４つの目的をカバーすることに賛成です。
　以上です。よろしくお願いします。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、佐々木委員、お願いいたします。

【佐々木委員】
　御指名ありがとうございます。
　まず、今回の内部統制制度の見直しの全体的な話ですけれども、御承知のとおり、企業の実務者も、それから監査人のサイドも非常にリソースには限界があると思います。したがいまして、今回の見直しが、いろいろな問題の解決につながるのかどうか、副作用がないのかどうか、こういったところをしっかりと見ていく必要があるかと思ってございます。
　加えまして、効率性ということも非常に重要だと思ってございます。いたずらに工数が増加することは避けたいと、避けることが非常に重要だと思ってございます。
　個別の論点について申し上げますと、まず非財務情報、資料の４ページでございますけれども、サステナビリティ情報ですね。これから重要性がますます増していくということは誰もが疑わないところだと思いますけれども、開示基準なり、あるいは保証、あるいは監査、こういったところもこれから議論されることでございます。したがいまして、現段階で、例えば、前文に盛り込むですとか、あるいは財務報告を報告に変えるというのは、やはり時期尚早ではないかと思ってございます。
　それから、資料の７ページ目の経営者による内部統制の無効化でございますけれども、この問題は経営者の資質の問題であったり、あるいは取締役会、あるいは監査役等との連携、個々の企業の全体としてのコーポレート・ガバナンス、こういった問題だと思いますので、この内部統制報告制度の改正によって、何か問題を解決するというのは、少し方向が違うのかなと思っております。
　それから、資料の14ページ、15ページのリスクアプローチ、あるいは数値基準のところでございまして、リスクアプローチ、非常に重要だと思います。しかしながら、現在の数値基準なり、あるいは三勘定の例示、こういったものは残しておかないと、やはり実務的には混乱を来してしまうだろうと思ってございます。何人かの皆さんがおっしゃっていましたけれども、やはり質的影響の重要性も考慮するということが、今うたわれていますので、ここをうまく利用していくというところが重要じゃないかと思ってございます。
　最後になりますけれども、ダイレクト・レポーティングのところです。資料の23ページから24ページぐらいのところにあったかと思いますけれども、これにつきましては、私としましては少し違和感があるといいますか、疑問に思ってございます。現在の仕組み、インダイレクト・レポーティングが現在は比較的安定的に運営されてきているのではないかなというふうに思います。仮にダイレクト・レポーティングという形になれば、監査人の負担も増えますし、それとともに企業側の対応の負担もかなり増えると思われます。サステナビリティ等々、いろいろなことでこれから対応していかないといけないというときに、このダイレクト・レポーティングを今議論するのは、時期的にもあまり適当ではないという気がいたしております。
　私からは以上でございます。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、岡田委員、お願いいたします。

【岡田委員】
　岡田です。ありがとうございます。
　まず非財務情報についてですが、はっきりした会計基準のような基準が存在せず未整備な中で、制度に落とし込むのは時期尚早だと思いますが、部分的に環境に関するISSBの動きなどを注視しながら臨機応変な対応も必要ではないかと考えております。
　次に不正に関して２点申し上げたいんですが、よく巷間に聞く不正の中に、経営者には不正の意図がなくて、また、担当者たちも横領の意図がない中で、私が感じるのは日本独特の雰囲気、空気による不正が続いているようなこともあるんじゃないかと思います。この場合に、その原因を作っているのは、必ずしも基準で定義されている経営者即ち代表取締役などではない本部長のような役員であるケースが多いという印象を持っております。
　この雰囲気というのは、悪しき慣行だと承知していながらも不正を続けるとか、業績や上司の指示を優先する風潮、そのようなものなどなどであります。そういう意味では、最近の品質不正の事例なども踏まえまして、これらも内部統制の限界というふうに考えて例示してもよいのではないかと思います。また、先ほど申し上げました基準上、経営者を代表取締役というふうに位置付けているところに、再考の余地があるのではないかと感じます。
　次に経営者による不正の無効化に関してですけれども、実施基準３.には「経営者が不当な目的のために内部統制を無視・無効にならしめることがある。しかし、組織内に適切な全社的又は業務プロセスレベルに係る内部統制を構築していれば（-中略-）経営者自らの行動にも相応の抑止的な効果をもたらすことは期待できる。」というふうに書いてあるわけですけれども、巷間いろいろ起こっている事例を見ますと、業績プレッシャーなどによって無効化されている例も多いわけです。それは経営者の不正を指摘しづらい環境などが重なって、抑止効果が働いておらず、結果として、大きな不正につながるというケースもあると思われます。経営の暴走を止められるのは、取締役会と監査役であると思います。また、取締役の中でも、特に社外取締役が重要な責任を負っていると思います。経営者による内部統制無効化の兆候が発見された場合、これは内部監査等から報告が上がってきた場合、あるいはそういう報告が上がらなくても内部通報などを通じて無効化の兆候が見られる場合は、社外取締役、監査役等、内部監査部門などが監査人と緊密なコミュニケーションを取って真相解明に動く必要があると思います。
　内部監査部門の調査でもつまびらかにできないような場合には、独立役員、すなわち独立社外取締役、独立社外監査役の責任で調査チームを組成して、強い権限をもって調査することが求められる、なども記載してはいかがかというふうに感じました。
　それから、ITについてですけれども、ここに書いてあるITの内部統制とはちょっと違いますけれども、よく委託先業者が委託契約に違反して、USBメモリーを勝手に持ち出したり、委託先がさらに再委託、再々委託をしているような場合、細かいコントロールが利かない状況が報道されております。委託する側の定期的なチェックというのは必要だと思います。
　また、セキュリティについて恐ろしいのが、身代金目的のランサムウェアのような報道がされております。これは内部統制としてどうするかというのは重要な課題だと思いますが、サイバー攻撃に関する最新の情報を収集すること、あるいは万が一攻撃があったときの対応を取締役会などで十分な議論を常に日頃からしているということも大切ではないかというふうに思います。
　私からは以上です。

【橋本内部統制部会長】
　ありがとうございました。経営者の定義について、内部統制の無効化の議論との関係で貴重な御意見を承りました。
　続きまして、弥永委員、お願いいたします。

【弥永委員】
　ありがとうございます。
　まず、ただいま岡田委員が御指摘になられたように、やはり経営者による内部統制の無効化という問題との関係で申しますと、一般的な財務諸表監査の場合には、どうしても監査役等を念頭に置いてコミュニケーションを監査人は行うということにされているのですけれども、内部統制の局面においては、取締役会あるいは社外取締役とのコミュニケーション、監査委員でないまたは監査等委員でない社外取締役とのコミュニケーションも、財務諸表監査の場合とはやや違っている面があるかもしれませんけれども、考えてみる必要があるのかなと思いました。
　第２点として、この14ページのところで示されている数値、三勘定の例示ですけれども、先ほど成田委員も御指摘になられていたように、連結の範囲との関係では、そういったものを廃止する、取り除いてくることができたわけですので、削除すると実務が動かないとまではいえないのではないかと思われます。数値基準がありますと、本来着目しなければいけないリスク、とりわけ、質的リスクが見過ごされてしまう、重点が置かれなくなる危険性があります。したがって、今回、仮に数値基準、三勘定に関する例示を削除しないとしても、その場合には前文等で数値基準や三勘定に係る例示は、ちょっと表現が悪いのですけど、あまり好ましくないので、したがって、いずれは廃止するのだということをはっきりと予告したほうがよいのではないかと考えます。数値基準などが実務の安定性につながっているということは私も推測で理解できるのですけれども、しかし、数値基準があることによって、本来見なければならないリスクをときには見落としているのではないかと思われますので、ここのところは、廃止するにせよしないにせよ、いずれにしてもしっかりと対応したほうがよいのではないかと考えております。
　次に、論点③ですけれども、23ページのところですが、この②のように、監査人に内部統制の有効性の評価の表明を求めるということは、現時点ではあまり適切ではないのではないかという気がいたします。少なくとも、ダイレクト・レポーティングに移行しようというのであれば、これは、当然のことながら、もっと時間をかけて検討しなければいけないことです。ダイレクト・レポ―ティングには、様々なメリットとデメリットがありますので、この点については、よく検討する時間を費やしたほうがいいのではないかと思います。
　そして、この24ページのところですが、前回の主な議論として、内部統制に開示すべき重要な不備があった場合でも、その内容は内部統制報告書に適正に記載されている場合に適正意見が表明されるというのは理解し難いという御指摘があったということです。けれども、内部統制報告書に対する意見表明という位置付けを維持するのであれば、現在の枠組みを動かすことは適切ではないと思われます。しかも、現在の基準の下でも、御高承のように、実は追記情報として、この点について対応されているわけです。すなわち、経営者が内部統制報告書に財務報告に係る内部統制に開示すべき重要な不備の内容及びそれが是正されない理由を記載している場合には、当該開示すべき重要な不備がある旨、及びその開示すべき重要な不備が財務諸表監査に及ぼす影響を、監査人は内部統制監査報告書に記載する、追記情報として記載することが要求されているわけです。もしも、この追記情報という形で書かれているのでは、監査意見しか読者は読まない傾向があるから、目につかないというのであれば、意見のところに、例えば、一言、追記情報参照などという文言を記載し、これはあまりにも、ちょっと私の思いつきにすぎませんので、適切ではないかもしれませんけれども、追記情報も見るように注意を喚起するだけでも対応できるのではないかとも思っております。
　以上です。ありがとうございました。

【橋本内部統制部会長】
　ありがとうございます。
　続きまして、柿﨑委員、お願いいたします。

【柿﨑委員】
　まず、１ページ目の２つ目の黒丸のところで、COSO等を参考に内部統制の基本的要素を充実させるために考慮すべき事由は何かという点で、「リスクと評価」の要点について申し上げます。
　その上の黒丸のところの、「内部統制とERM及びガバナンスとの関係」とも関連しますけれども、先ほど複数の委員の方からお話があったように、内部統制は、ERMに包含されていると理解するのが一般的です。また、現在のリスクの考え方は、プラスとマイナスのリスクがあるということも一般に認知されていると思います。
　しかし、現在の内部統制実施基準では、マイナスのリスク、すなわち「損失を与えるリスク」のみを扱い、「利益をもたらす可能性」は、ここで扱うリスクには含まれないというふうに書かれています。
　ただ、ERMの要諦は、水口委員や髙畑委員からもお話あったように、リスクとパフォーマンスを結びつけて、取るべきリスクは取って企業価値を高めていくというところにあると思います。そうだとするとERMは、この内部統制基準の議論の射程に入らないのではないかという疑問も実はあろうかと思いますけれども、そのリスクの考え方は、もう少し整理しなければいけないかなと思っています。
　損失を与えるリスク、これは「組織目標を阻害する要因としてのリスク」の内容として説明されていますが、この阻害要因リスクとなるかを判断するためには、経営戦略に照らしたリスク評価が必要でありますから、下振れリスク、あるいはそのリスクを許容して受容するかどうかも含めて、いわゆるリスクアペタイトの選択ということも当然に関わってくるわけです。当初計画より上振れするリスクの評価は、過度なリスクテイクとはならない限りは、原則的に経営者裁量に委ねてもいいと思いますけれども、「機会損失のリスク」は、本来、利益を得られる機会をリスク評価が十分でなかったために失うことですから、「組織目標を阻害する要因としてのリスク」の一環として捉えることもできるのではないかと思います。したがって、現在の内部統制基準が射程とするリスクの範囲というのは、結構、広いのではないかと思います。そのため、現在の「組織目標を阻害する要因としてのリスク」の捉え方には、リスクアペタイトの考え方などERM的要素をもう少し明確に、内部統制基準の中に反映させていってもいいのではないかと考えます。
　次に、４ページの「非財務情報の扱い」についてですけれども、これは世界的な趨勢から見ても、投資家にとって財務情報よりも非財務情報の重要性が高まっている場面が増加してきているというのは自明の理でありまして、現に、次の金融商品取引法改正で、一定のサステナビリティ情報、つまり非財務情報が開示項目になることは、ほとんど確定的であります。その開示情報の信頼性を一定程度であっても確保するための対応というのは、金融商品取引法内部統制の議論としては、決して時期尚早ではなくて、中長期的課題というよりも現段階で必要であると考えます。ですので、今回の対応としては、内部統制の基本的枠組みの箇所では「財務報告」だけではなくて、2013年にCOSOが変更した内部統制概念に合わせて「非財務報告」も包含する、いわゆるただの「報告」という文言に変更するべきだと思います。
　ただし、今回は内部統制基準等の改訂だけが対象ですので、国際的な非財務情報に関する開示・監査基準の策定を待って、時期を逃さずに金融商品取引法上の内部統制の改正も視野に入れて検討していくべきだと思います。
　それから、11ページのIT対応について、１点だけ考慮していただきたいと考えるのは、対応の適時性の観点です。IT対応は御案内のとおり、他の要素と比較して、状況変化のスピードが格段に速く、問題発見とか分析・評価、是正措置の対応が適時に行われないと意味がないので、その点、「適時・適切」と言葉を入れるだけでもかなり違うと思いますので、適時性の観点というのを盛り込んでいただきたい。
　それから、14ページ、「経営者による内部統制の評価範囲」のところの、２つ目の黒丸の「内部監査人の記述を充実させるために考慮すべき事項」の箇所で１つ申し上げたいのは、デュアルレポーティング体制の確保に加えて、内部監査人の独立性と人的リソースの確保の手段として、取締役会の承認事項として、内部監査部門長の人事、それから年間計画、予算、これらを追加することが重要ではないかと考えております。
　最後に、36ページの「内部統制報告書の訂正時の対応」ですが、これは「前回の主な議論」に記載された内容に賛成します。訂正内部統制報告書を後から提出した会社と、「開示すべき重要な不備」を最初から開示した企業とは、やはり何らかの差別化が必要だと思いますので、訂正時の経緯や判断理由の開示を含め、不備の改善についても経営者のコミットメントを表明させて、翌年の改善状況を内部統制で示させるということに賛成いたします。
　なお、これは今後の課題ということになるかと思いますが、訂正内部統制報告書を出すに当たっては、その前に監査人は「財務報告に係る内部統制」に適正意見を付しているわけですよね。それを後になって、経営者側が「いや、やはり重要な開示すべき不備がありました」という形で訂正報告書を出すときに、監査人はそこに何ら関与しなくてもいいのかというと疑問です。訂正内部統制報告書に対する監査証明が必要かという点は、慎重に検討する必要はありますけれども、適正意見を付した監査人の関与というのは、何らかの形で必要ではないかと個人的には思っております。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、町田委員、お願いいたします。

【町田委員】
　ありがとうございます。
　まず大前提として、今回、何で改訂するのかということを確認しておいた方がいいのだろうと思います。この点は改訂の意見書の前文に書くのだろうと思いますが、内部統制報告制度は、たしかに制度として粛々と行われているかもしれないけれども、やはり形骸化が指摘されているわけです。そして、前回事務局資料でもご説明があったように、評価範囲の外から開示すべき重要な不備が後日発見される件数が相当程度あることから、何か評価方法に問題があるんじゃないか、あるいは、評価方法を改善した方がいいのではないかというのが、基本的な問題意識だと思うんです。
　そのときに、今回議論の対象となっている数値基準の撤廃という話があります。これはそもそも制度導入のときに、まだ内部統制が海のものとも山のものともつかないときに、どういうふうに制度を円滑に導入すべきかということで、政策的な意図を持って、売上高の３分の２とか、あるいは三勘定というものが示されたのだと記憶しています。そもそも三勘定なんていうのは、恐らく世界でやっているのは日本だけだと思うんですね。そうすると、それを制度が定着した後は、徐々に経営者が自らの企業の実態に合わせて、自社のリスク認識に応じて評価する方向に持っていくことが制度の着地ということなのだと思います。それが一気に進めるのが難しいということであれば、例えば、今回は本文からは削除してQ&Aに持っていくということでもいいかもしれません。いずれにしても、先ほど弥永先生が御指摘になったように、徐々に廃止していく方向なんだということを明確化していくべきですし、その第一歩を進めるべきと考えています。
　そして、まず１ページ目のところですけれども、基本的枠組みのことについて申し上げたいと思います。前回、議論があって、先程、金融庁の方からの御説明もありましたけれども、内部統制の基本的枠組みのところは、内部統制報告制度における経営者評価には直接関わらないということが明示されました。ただ、それであっても、このⅠ 基本的枠組みのところは最新化、あるいは不十分、不適切な箇所は改訂をしておくべきだと思います。
　理由は、日本には、内部統制のフレームワークはこれしかないんですね。他の権威ある機関が公表したものや、広く受け入れられたフレームワークはない。ですから、このフレームワークを日本の内部統制はこういうものであるべきだ、という意味で、これを最新化、適正化しておく必要があるということです。例えば、スリーラインモデルとか、ダブル・レポーティングラインの導入、それからCOSOの2013年のフレームワークに合わせて財務報告を報告に変えておくとか、上場企業のガバナンス・コードとの整合をとっておく、そういったことをしておく必要がある。
　この点については、もう１つ重要なことがあります。皆さん、金融庁の会議だということで、場を意識されてあまり発言されないんですけれども、先ほど会社法の内部統制ということありましたが、会社法には、いまだに本法にも、それから会社法施行規則にも内部統制の「な」の字も書かれていないのです。ですから、このⅠ 内部統制の基本的枠組みを改訂した上で、本日、渡辺参事官もお越しですけれども、例えば、これを基に会社法の法制審議会の方々と調整をして、会社法に内部統制の構築義務を規定していただくとか、あるいは会社法の施行規則の100条の規定の仕方を内部統制の基本的枠組みの内容と整合するような形、用語法に調整したような内容にしていただくとか、そういった形で会社法との調整ということを中長期的な課題として位置付けて取り組んでいくことが必要なんじゃないかなというふうに考えています。
　それに対して、４ページの非財務情報のところは、これは非財務情報も何もかも全てを何か包含するような範囲にすべきということではないですけれども、少なくとも有価証券報告書のどの部分までが範囲に入るのかということについては、具体的な開示事項を挙げる形で規定していくべきだと思います。
　それと、23ページの監査人との協議のところです。これは、何か監査人との協議について詳細な規定を置いておきたい、あるいは透明化を図りたいという考え方だと思うんですけれども、監査人との協議の内容を経営者報告書に記載するというのは、ちょっと筋が悪いんじゃないかなというふうに思っています。
　もしも、この監査人との協議ということをより充実させたいということであれば、この監査人との協議の規定というのは、もともと2017年の実施基準ができたときに、経営者が評価範囲を決めた時点で監査人と協議をしておいたほうが、その後の評価に手戻りが生じなくて効率的だということで入れたものだと理解していますので、であれば、もっと前の方で、内部統制の評価、経営者による評価の全般にわたるような形で、監査人による指導的機能の発揮について、何か規定を入れていくということがあってもいいのかなと思います。
　他方で、もしも透明化を図るということであれば、と同時に、今回、数値基準の撤廃によって評価範囲が各社に任される状況とか、あるいは、少なくとも一定の範囲の評価範囲の多様性を認めるという方向になったときに、その評価範囲の決定に関して監査人にもっと関与してほしいということであるのであれば、例えば、財務諸表監査で、今、行われているようなKAMのような対応、Key Audit Mattersのような形を取るということが考えられるのではないかと思います。KAM on Internal Controlのような形で、監査人の監査報告書の開示を充実させていく中で、監査報告書上での開示を拡充していくことが考えられると思います。
　つまり、監査人との協議のところを拡充していく議論は、２つの方向性、指導的機能を全般にわたるような規定として位置付けることと、監査報告書上において、例えば、財務諸表監査のKAMのような記載をさせることで透明性を図るという、そうした２つの方向が採りうるんじゃないかなと考えています。
　あと最後に、訂正内部統制報告が出たときの不備の是正状況の開示の問題について、いろいろ議論があるかと思います。しかしながら、そもそも内部統制の場合と財務諸表の場合はちょっと違っていて、財務諸表の数値は後々に影響するんですけれども、内部統制はあくまでも時点評価なんですね。ですから、訂正内部統制報告に対して監査が要請されなくなったのは、そのことが理由なのだと思うんです。ですから問題なのは、訂正内部統制報告書が提出された際に、そこで報告された開示すべき重要な不備が、ほかの拠点やプロセスにはないのかどうかということが問題で、改善状況をいくら開示させて、こんなことやりました、あんなことやりましたと説明させても、翌年、他の部分から開示すべき重要な不備が出ては意味がないのです。ですから、その開示すべき重要な不備が出た場所、重要な拠点とか、あるいはその業務プロセスとか、そこの部分については、翌年度の内部統制報告に当たって、より詳細な報告を求めるとか、あるいは、翌年又は一定期間に渡ってその会社については評価範囲の絞り込みを認めないとか、そういった形の対応を図っていくことが望ましいのではないでしょうか。逆に訂正内部統制報告書の詳細化を図っているうちに、そのことに時間ばかりがかかって、訂正内部統制報告書の開示が遅れに遅れていくという事態に至ることを危惧します。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　あと５名ほど、御発言希望の委員がいらっしゃいますけれども、次に山口委員、お願いいたします。

【山口委員】
　私のほうからは、論点④、内部統制報告書の訂正時の対応について一言述べておきます。35ページなんですけれども、こちらのほうの訂正内部統制報告書の記載事項の取扱いについては改訂すべきだと考えております。
　具体的には、訂正時の経緯、判断理由などの記載は必要と考えます。今回の形骸化と言われている大きな要因の一つであると思っております。
　なお、先ほど柿﨑委員からもお話がありましたが、私自身も、やはり監査人自身がダイレクト・レポーティングではないものの、経営者の評価に関して、何らかの適正意見を出しているわけですから、それが訂正されるということであれば、監査人としても、何らかの理由といいますか、意見を述べるようなことも必要になってくるのではないかなというふうに思っておりますので、これも一点付け加えさせてください。
　そこで、あくまでもそういった内部統制報告書の訂正時の対応が、改訂されるということが前提になりますけれども、例えば、このレジュメでいうならば７ページですね。論点①、内部統制の基本的枠組みの③、経営者による内部統制の無効化に関する記載内容とも関連するのではないかと思います。例えば、８ページには、現行の記載内容が示されておりますけれども、要するに、何が内部統制の限界なのかというところについては、あまり明らかになっていないのではないかと思っております。例えば、ここに内部統制には限界がありますよというふうに書いてあるんですけれども、それは仕組みが不備なのか、それとも評価プロセスがおかしいのか、どちらも全部含めて内部統制の限界とおっしゃっているのかどうか、そのあたりの内部統制の限界というのが、どのようなことを指して示されているのだろうというところは、もう少し明記する必要があると思います。また、このあたりはもう少し明確にしていかないと、例えば、訂正するときの理由の記載に困ると思うのです。どのような評価に関する事情の変化があったので我々は訂正しますと、もしくは不祥事があったとしても、我々はこういう理由があって訂正はしませんということを説明する必要があるかもしれません。そのようなことから、この辺のところの記載の明確化が必要になってくるのではないかと考えております。
　もう１点が14ページです。リスクアプローチの内容について、さきほど、町田委員からお話があったように、これはもともとトップダウン型のリスクアプローチですね。なるべく会社に負担がかからないような形で内部統制報告制度を運用していきましょうということで、たしか全社的内部統制を経営者が判断をして、その判断結果を基に、決算財務プロセス、業務プロセス、そういった評価範囲を決めていくような、そういった仕組みを一生懸命、策定されたと思います。そのような事情があるので、リスクアプローチの対応、評価プロセスですね。その辺りも訂正時にどうして訂正したのかという理由に記載すべき問題の一つとなってくると思いますので、この辺りも検討の必要性はかなり高いのではないかなと考えております。
　私からは以上でございます。ありがとうございました。

【橋本内部統制部会長】
　続きまして、金子委員、お願いいたします。

【金子委員】
　金子です。発言の機会を頂きまして、ありがとうございます。私からは３点コメントしたいと思います。
　まず、１ページ目の内部統制の基本的枠組みの記載に関してですけれども、御説明にもありましたとおり、この箇所は内部統制を正しく理解するための記載ですので、啓蒙的な役割が大きいと思います。
　そうした観点で、御提案のように、ガバナンス、ERM、内部統制の関係を説明していただく必要があると考えます。また、多くの皆様から、それほど遠くない将来において、非財務が範囲に入ってくる可能性が高いという御意見があったわけですから、適正な理解を広める観点で、「財務報告」を「報告」に広げておくことは重要と考えます。
　それから、COSOの内部統制の概念においては、「外部報告」だけではなく、「内部報告」も含める変更がされている点も反映すべきと考えます。この理由は、７ページの経営者による内部統制の無効化にも関係しますが、社内で適切に意思決定を行い、かつガバナンスを機能させていくためには、適切な情報が適時に伝えられることが重要であるからです。さらに、こうした情報に基づいて社内で議論し、検討できることが重要ですので、この点を踏まえて反映していただきたいと思います。
　次に、７ページの経営者による内部統制の無効化に関しては、現状の基準の文言の記載が９ページにございます。９ページの四角囲みの次の段のところで、「内部統制、特に業務プロセスレベルの内部統制で、内部統制の無効化を抑止できる」という記載がありますが、経営者による内部統制の無効化を抑止できるのは、取締役会や監査役等のガバナンスであると考えます。ガバナンスが適正に機能するために、内部統制報告書の開示においても、ガバナンスや内部統制の現状や課題、それから内部統制の評価範囲等について、社内でどのように検討したのか、その結果として、この評価範囲にしたことを具体的に記載していくことが有用ではないかと考えます。
　それから、14ページの評価範囲の決定を見直すに当たり検討すべき事項です。数値基準については、いろいろな御意見があると思います。リスクアプローチを取る以上は、数値基準があるのは矛盾するというご意見は、そのとおりであると思いますし、リスクを分析し、評価範囲を決定する過程において、監査人が指導的な役割を果たすことや、監査人との十分な協議が重要であることは、当然のことと思います。
　ただ、リスクを分析し、評価し、評価範囲をロジカルに文書に残していくことは、それほど簡単なことではありませんし、判断の要素が非常に強いと考えます。数値基準を撤廃することは、評価範囲が広がる危険とともに、評価範囲を安易に狭める危険もあると思いますので、現実的な対応としまして、何らかの例示を残した上で、企業独自の判断基準として、どのように考えたのか、そして決定のプロセスはどのようなものであったのか等について内部統制報告書に具体的に記載していただくことがよいのではないかと考えております。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、松本委員、お願いいたします。

【松本委員】
　松本です。ありがとうございます。４点ほど申し上げたいと思います。
　スライドの７ページと８ページで、不正の話と内部統制の限界の話、それと経営者による内部統制の無効化の話が連続するんですけれども、この辺りは、先ほど金子委員もおっしゃいましたし、岡田委員もおっしゃいましたが、経営者に対するガバナンス機能を有しているのは取締役会と監査役等ですので、内部統制の限界や不正に対する監査役等、あるいは取締役会の役割をもっと明示的に規定すべきだと思います。前回のときにも申し上げたんですが、内部統制の枠組みの中で不正を含めた内部統制の中での監査役等の役割について、やはりもう少し書き込んだほうがいいというふうに私は考えております。
　もう１点が、先ほどから出ている協議の問題なんですが、研究する側からもそうですし、教育する側からもそうなんですが、協議という用語が監査人の独立性という観点から非常に印象が悪い。なぜなら共同決定のようなイメージを見る側に与えてしまっていると思います。この協議という問題で、協議後に内部統制監査が入るのに、監査人の独立性はどうやって担保されるのか、といった誤った印象を、この協議という単語が与えてしまっています。ですので、先ほど町田委員がおっしゃいましたように、この協議は監査人の指導機能の一環であることが判るような作文が必要だと思います。
　指導機能の一環というふうな位置付けを明記できれば、財務諸表監査でも同じように指導機能を発揮することが監査人には義務付けられていますので、何も内部統制監査特有の用語や言い回しではない言葉として位置付けることが可能になろうかと思います。
　３点目です。先ほど町田委員もおっしゃいました、今回の内部統制基準の改訂の趣旨は、現在生じているとされる内部統制報告制度の形骸化を何とかして改善するということが最大の目的です。となると、形骸化の最大の原因である数値基準を実施基準本体の中に残しておくと、前と全然変わってないというふうな印象を投資家等の利害関係者に対して与えかねません。またリスクアプローチが個々の企業ごとに厳格に適用されていないようにも見えてしまいます。ですので、数値基準を残すことに関しては、私は断固として反対します。もしそれでも残すのであれば、付録のような形で残した上でプラスアルファのこれ以外の例も示し、現在の数値基準以外にもリスクアプローチの適用において利用できる基準があることを示す必要があります。実際に現場で働かれている会計士の方もそうですし、評価を担当されている企業の方もそうでしょうが、この評価範囲の決定で挙げられている連結売上高の３分の２といった国際的にも恥ずかしい基準、あるいは三勘定に紐付けた評価の範囲の決定というのも、これも国際的にも恥ずかしい基準ですので、実務の中で、実際にこういうものが使えるという例をお持ちでしょうから、それら何十個もあるうちの一つとして連結売上高の３分の２といった例を書くのであればいいですが、この例だけが独り歩きするような今の例示の仕方は避けるべきだと考えております。
　最後です。中長期的な課題の中でなんですけれども、説明資料の最後のページに確認書の話が出てきています。確認書は、今現在、日本の場合はCEOに相当する社長と、財務担当取締役が署名しているケースが多いんですけれども、ここに監査役等のガバナンスの責任者による内部統制に対する監督責任を果たした結果を書いてもらうような措置を採れないでしょうか。金融商品取引法の開示制度のなかで監査役が表に出るシーンが非常に少ないです。監査法人の監査報告書の中では、監査役等の責任はこういうものであるというふうな記載を監査役等の責任に関する記載区分に記載しますが、監査報告書における記載ですから監査役が書いているわけではありません。監査役が主人公になって記載するような開示書類があってもいいような気がしますので、確認書にガバナンスの責任者としての監査役等が、その内部統制に対する監督責任の結果を書くような措置を講じていただくことが中長期的な課題として望ましいのではないかと思います。
　以上です。ありがとうございました。

【橋本内部統制部会長】
　ありがとうございました。恥ずかしいところはできるだけなくしていきたいと思っていますけれども。
　続きまして、堀江委員、お願いいたします。

【堀江委員】
　堀江でございます。御検討いただきたい点につきまして、２点に絞って述べたいと思います。
　１つ目は、事務局資料14ページ目、リスクアプローチと数値基準、特に数値基準の扱いです。
　この数値基準については、本日、いろいろな御議論が出てきて、全体としては、残したほうがいいのではないかという流れだったと思ったら、今、松本委員が急ブレーキかけられましたので、最終的にどういうふうになるか分かりませんが、私はどちらに転んでも、全社的統制の整備・運用と、その評価を手厚くするアプローチの徹底、これを基準・実施基準上、手当てすることが重要ではないかと思います。
　といいますのは、全社的統制を形式的な点検で簡単にスルーしてしまって、３分の２基準を機械的に適用する、そういうことが問題ではないかということです。
　もし、この最低となる基準すら取ってしまいますと、先ほど藤本委員、髙畑委員がおっしゃられましたように、厳密にリスク評価をやっている会社ほど評価範囲が広がって、すごく重くなってしまう。逆に、いいかげんなリスク評価をやられてしまうと、危ない事業拠点が多く漏れるというふうなことにもなりかねないということで、本制度のもともとの目的とか趣旨に照らしたとき、やっぱり何らかの基準・実施基準上の手当てが必要だろうと。この全社的統制を重視する考え方は、実は内部統制とガバナンスとの関連付けという観点から見ても、意味があるのではないかと思います。
　そこで、水口委員から、数値基準を選択肢とするようなアイデアも、出されたりしておりましたように、結果として、数値基準を残す、残さない、いずれの場合であっても、例えば、現在42項目ある全社的統制の例示について、これは少し多過ぎるのではないかと思うので整理が必要かとは思いますけれども、内部統制報告書に全社的統制の対応状況について、６つの基本的要素ごとに、その有効性の評価結果の記載を求めたり、また、できれば、それらに関するリスク判断の記載を求めるなど、こういったようなことがもしできれば、トップダウン型のリスクアプローチ、これをさらに一段重視する考え方のきっかけになるのではないかというふうに思います。
　また、数値基準をなくすということになった場合には、どのように評価範囲を決定するかということについて、かなり踏み込んだ具体的な規定が必要になると考えます。
　しかも、なぜリスクアプローチに基づく評価が必要かということ、その意味が会社側に十分腹落ちするような形で基準・実施基準上規定する必要があるのではないかということであります。
　一番大事なことは、企業が内部統制を自らのこととして捉えて、主体的に改善を図っていくことであって、そのための一つの仕掛けが、各委員に御賛同いただいている、このリスクアプローチという考え方だということを、今般の改訂に際して付される前文で強いメッセージとして伝えることが重要ではないかと思います。
　さらに、もう１点だけ。事務局資料、戻りますけれども、10ページ目、ITへの対応について、ごく簡単に２つの追加意見を述べさせていただきます。
　１つ目は、最近のテクノロジーの進展ですね。この観点から見たときに、IT基盤の内部統制をカバーするIT全般統制、これが重要です。IT全般統制のローテーション評価を認める規定が形式化して、IT全般統制の軽視に繋がらないようにするとともに、一段深い、深度ある評価を求めることが必要ではないかと考えます。これは、ITガバナンスの充実という観点からも非常に重要ではないかと思います。
　もう一つは、アウトプットとしての情報属性。基準では、ITの統制目標と呼んでおりますけれども、例えば、非財務データを含むビッグデータなど、内外の大量のデータを扱う場合は、情報の正確性とか完全性、これが非常に重要になると思います。また、柿﨑委員から適時性という属性も御指摘いただきましたので、最新の情報技術環境も踏まえて、ITの統制目標として掲げられている各種目標の概念整理をしていただければと思います。
　以上でございます。よろしくお願いいたします。

【橋本内部統制部会長】
　ありがとうございました。
　それでは、熊谷委員、お願いいたします。

【熊谷委員】
　ありがとうございます。みずほ証券の熊谷です。時間も限られておりますので、極力手短に話したいと思います。
　まず、基本的枠組みのところのERM、ガバナンス等と内部統制の関係でありますけれども、内部統制に不備の生じている会社は、この三者の関係に対する理解が不徹底であるために、そういう不備が起こっているのではないかと思います。基本的枠組みに、この三者の関係をしっかり書き込んでいただくことが必要だと思います。また改訂版COSOと整合するようにアップデートをしていくということが必要じゃないかなと思います。
　それから、サステナビリティ報告と非財務情報の取扱いでありますけれども、私自身、ディスクロージャーワーキング・グループに参加して、この議論に参加しております。やはり外部向けの企業報告にサステナビリティ報告を含む非財務情報が含まれる方向性にあるのは間違いないと思います。恐らく、こういったことは企業経営、将来に向けた戦略、ストーリーを投資家が理解するために、財務諸表に基づく財務報告だけでは不十分であるという認識が広がっているからであるというふうに思います。そういった意味で、内部統制が企業のERM、ガバナンスの基盤を成す以上、外部、あるいは内部向けのコミュニケーションで、その信頼性を保つべきであるのは財務報告のみでないということは、ほぼ自明であろうと思います。このような見直しというのは、現在のディスクロージャーワーキング・グループで行われている議論の方向性と整合的でありますし、時宜にかなった改訂であると思います。
　詳細を決める必要はないと思いますけれども、前文等、あるいはこの基本的枠組みのところで、こういったことを記載していくということは重要であろうと思います。
　次に数値基準でありますけれども、数値基準が作成者の方々にとって有用であるということは理解いたします。ただ、やはりもう既に他の委員の皆さまが、御指摘されておりますように、数値基準や三勘定では見落とす可能性のリスクが存在し、それがこの内部統制、あるいは内部統制報告制度の穴になっているように思われます。従って、原則としてはリスクベース、あるいは重要性の考え方をベースとして内部統制の範囲を決定し、数値基準や三勘定は、あくまでも内部統制の範囲を決める上での参考情報にしかすぎないということを基準、あるいは実施基準で強調することが必要ではないかと考えております。
　次に論点③にあります、内部統制基準の内部統制を無視、あるいは無効ならしめる行為でありますけれども、これも既に皆様御指摘のとおり、これは内部監査人だけでは、やはりちょっと無理じゃないかなと思っておりまして、取締役会、あるいは監査役等の能動的な役割、あるいは外部会計監査人との連携が必要になると思います。その辺りが今の基準では必ずしも明確に規定されておりませんので、この辺りを明確に規定していくということが必要ではないかと思います。
　それから、内部統制の有効性の評価の表明、ダイレクト・レポーティングについてです。財務諸表利用者の立場では賛成したいところでありますけれども、コストの問題もあるというふうに聞いております。利用者の立場では、最終的なアウトプットである財務報告、金融報告の信頼性が担保されれば十分でありますので、今の段階で内部統制の有効性の表明まで踏み込むのはちょっと時期尚早ではないかと思っております。やはり限界的なコスト増と、それによってもたらされるベネフィット、この評価というのをしっかり検討していくべきじゃないかなと思います。
　それから方向性の④でありますけれども、これは御提案に賛成であります。前年度に訂正や開示すべき重要な不備が存在した場合に、その対応状況について、内部統制報告書に書き込んでおくということは必要だと思うのですけれども、利用者としては、有報のリスク情報においても記載することが利用者の注意喚起ということで有効じゃないかなというふうに思っております。
　論点の⑤、中長期的な課題についてはまず、サステナビリティ報告、開示と保証の問題です。これは皆様、御認識のとおり、現在議論中の重要な課題でありまして、前文とか基本的な枠組みで書き込むのはいいと思います。しかし、実際にこれをどうやって実務に落としていこうかということは、今後、議論していくべき課題だと思います。
　最後に、今回の部会では議論されておりませんけれども、内部統制については、リソースの豊富な大企業とリソースに限界のある中小企業では問題の所在が違う可能性があるんじゃないかなというふうに考えています。今回の制度改革では間に合わないかもしれませんけれども、大企業と中小企業において、内部統制上の問題の本質や所在が同じか、あるいは異なるのか、丁寧に検証していく必要があるんじゃないかなと思っております。
　以上です。どうもありがとうございました。

【橋本内部統制部会長】
　ありがとうございました。以上で委員の御意見、御発言は、一巡いたしましたけれども、若干時間が残されていますので、今日、事務局資料で５つの論点について、全部で10項目の細かい論点がありましたけれども、その中で、例えば、内部統制監査をダイレクト・レポーティングのほうに移行するということに対しては、多くの委員の皆様が否定的であるということで、ほぼ意見の相違が見られない論点もあれば、評価範囲のところで、数値基準、三勘定等を削除してしまうのか、あるいは少なくともQ&Aか何かに移行していく、そういったようなところについては削除する意見や、あるいは残したほうがいいという意見もございまして、意見の相違があるようにも感じました。
　まず、この事務局資料としてお示しした論点で、まだ漏れている論点がございましたら御指摘いただきたいと思いますけれども、いかがでしょうか。特に論点は網羅されておりますでしょうか。
　それでは、この最初の内部統制の基本的枠組みのところが、実際の基準、実施基準のところとは性格の違うものですので、このところは2013年のCOSOの改訂などもありますので、少し最新化を図るという方向で、実際の内部統制報告書のほうには直ちに影響を及ぼすということではないことを明記した上で、前文等、あるいは基本的枠組みについて最新化を図りたいというふうに考えているところですが、２番目の評価範囲について、数値基準、三勘定等の撤廃について、改めて御意見ございましたら、いかがでしょうか。手を挙げる機能を使ってでもいいですし、チャットでも、どちらでも。残すべきという意見と、できるだけ削除すべきという意見があったと思いますけれども、最初我が国に内部統制報告制度を導入したときは、啓蒙的な意味も含めて数値基準等を設けたわけですが、もうそれから10数年たっておりますので。
　水口委員、お願いいたします。

【水口委員】
　先ほど、ちょっと私の名前も出していただいたところです。定量基準だと拾われないような拠点において、相対的に影響が大きな問題が起こることもあり得るのではないかと思います。例えば、グローバル展開している企業もあったりすると、小さな拠点であっても、従前からの日本の環境では想定できないような大きなリスクが存在していることもあり得ますし、絶えずリスクベースの視点で見て、思考停止にならないということは重要だと思っております。
　リスクベースで考える中で数値基準を活用することもプロセスに入っているということも想定し得ると思いますが、数値基準だけ見ていればいいというような建付けにならないように工夫ができたらいいのではないかと思っております。

【橋本内部統制部会長】
　ありがとうございました。
　ほかにいかがでしょうか。堀江委員、どうぞ。

【堀江委員】
　数値基準の問題ですが、金子委員も御発言になられたとおり、筋から考えて、トップダウン型のリスクアプローチを徹底するというのは、理屈から考えると、確かにこういう数値基準というのは、本当はあってはいけないものだと思うのです。それから国際的に見たときの状況、松本委員が御発言になられたことも十分に考慮する必要があるのですが、やはり一つの制度として落とし込む場合、まず注意しなければいけないのは実務への影響だと思うんです。それともう一つは、この制度の本来の目的とか趣旨がどこにあるかということですね。これを十分に踏まえる必要があるのではないかということです。
　要するに、あまり適切な表現ではないかもしれませんが、数値基準を廃止してリスクアプローチを徹底すると言いますと、非常にスマートなイメージになりますし、基準や実施基準が大きく変わったと映ると思います。こういう見せ方もあり得るかもしれませんけれども、実務家の方とディスカッションさせていただいたり、御意見をいただいたりすると、数値基準を廃止することの実務上の危険性については慎重な配慮が必要だと考えるようになりました。ですから、仮に数値基準をなくすとしても、先ほど申し上げさせていただいたように、何らかの規制というか、ここまではやってもらわないと実効的なリスクアプローチにはならないというラインをきちんと規定する必要があるのであって、全くのフリーハンドで、どうぞ御自由にということになると、実務がかえって混乱するのではないかと、そういう感想を持っております。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　ほかにいかがでしょうか。
　では、次に監査人との協議、あるいは経営者との協議の論点で、協議という用語について見直したほうがいいのではないかという御意見がありましたが、この点について何か御意見ございますでしょうか。
　町田委員、いかがですか。

【町田委員】
　監査人との協議の話ですが、これは用語の問題として、これまでずっと「協議」で制度を実施してきているので、この用語を無くすというのは難しいにしても、先ほど松本先生もおっしゃっていたように、協議ということが指導的機能の一環なんだということを明確に書き加えるという形で説明を入れるという方法が一つあるかなと思います。
　それだけではなくて、協議する場合、つまり、監査人が指導する、具体的には監査人の側からの情報提供であったり助言ということだと思うんですけれども、そうした局面は、この評価範囲の決定の最終段階だけではないと思うんですね。その意味では、もう少し前のところで、経営者評価の最初のところとかで、経営者評価の全体にわたる規定として、経営者は監査人からの指導、助言を適切に利用することが望ましいとか、そういったことを書くということが考えられると思います。
　それと、もう１点だけ。今まで出ていない論点ということですので、是非考えていただきたいのは、アメリカにおける海外不正支払防止法（FCPA）の問題です。つまり海外の事業拠点での公務員等に対する不正支払の問題ですね。外国公務員に対する賄賂とか、取引に係る不正支出とか、そういった問題について、日本のグローバル企業はアメリカのFCPAとか、あるいはイギリスの贈賄防止法（BA法）とか、そういった法規に対応することに追われている部分があります。日本にも「外国公務員贈賄防止指針」とか、『不正競争防止法』の規定などがありますが、必ずしもそうした問題に対する対応が内部統制の問題としてと捉えられていないので、そのことをどこかに入れておくということが考えられると思います。例えば、経営者評価のところで、先ほどあった不正リスクと同様に、国内外の事業拠点においての不正支払のリスクとして挙げるということです。
　この評価しなければいけないリスク項目については、不正リスクだけじゃなくて、そうした不正支払や、それから気候変動リスク、レジリエンスとか、あるいはBCPの問題とか、そういった問題もあるように思いますので、そうした評価すべきリスク項目例みたいなものを列挙しておくということが必要なのではないかなというふうに考えています。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　ほかにいかがでしょうか。どの論点でも構いませんけど。

【松本委員】
　松本です。橋本先生、ありがとうございます。
　協議の点、私も先ほど申しましたとおり、基準上で協議を促進するといった書き方をされてしまいますと、最終的な内部統制の評価範囲の決定責任者が経営者であるということが浮いてしまうので、指導機能の一環として監査人からの助言や勧告を行うことは協議の促進という観点からは望ましいという書き方をするのはいいのですけれども、最終的な評価範囲決定権者は経営者にあるということを、やはりもう少し明確にすべきと考えます。
　それともう１つ、今回の未検討の事項として、内部通報制度に関する議論があまりに少な過ぎるような気がします。特に通報先の外部の顧問弁護士が経営者側に寝返るようなケースもあるように、外部の顧問弁護士を内部通報先にすることが代表的な例として規定されている状況は改善すべきと思います。アメリカのように内部通報者に対して法外な報奨金を出すことはできないにしても、それでも内部通報に対して消極的なイメージが日本では多過ぎるので、内部統制の重要な構成要素としての内部通報制度の位置付けをもう少し強調してみてはどうかと考えております。
　以上です。ありがとうございました。

【橋本内部統制部会長】
　ありがとうございました。
　ほかに御意見、コメント等ある方いらっしゃいますでしょうか。どの論点でも構いませんけれども。
　山口委員、お願いいたします。

【山口委員】
　ありがとうございます。
　この14ページのリスクアプローチに関してですが。ここはかなりいろいろ御議論があるようなのですけれども、実務をいろいろ見ておりますと、１兆円を超える売上の企業もあれば、何十億という会社、いわゆる中小の上場会社もある。いずれも内部統制報告制度の適用があることを前提にするならば、どうしても実務的にできる範囲で、履行できるような形で基準を作り込んでいかなきゃいけないと思うと、私は気持ち的には松本委員の意見に賛同するのですが、実務として、この数値基準をすぐに取り払うというのはなかなか難しいのではないかと思っております。ちょっと玉虫色的で申し訳ないですけど、段階的に。例えば、今回のこの改訂の中では、全社的な内部統制に着目する。全社的統制を特に経営者が中心になって評価を行い、そのことによって個別のその範囲が決まっていくというところを明確にしていった上で、例えば、IT統制なんかも、全般統制とか個別の統制の問題、いろいろ分かれておりますけれども、今の時代は、IT統制もやっぱりこの全社的統制の一つだと思うんですね。そういうところも含めて、リスクアプローチの趣旨を、これは経営者がきちんと評価していくというところを少しでも実務的に落とし込んでいく、そのようなところで、大きな会社にも中小の会社にも適用できるような基準作りというところを目指していただければなと思っております。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　あと藤本委員と金子委員から発言の希望がございますけれども、時間も迫っておりますので、藤本委員、手短に、まずお願いいたします。

【藤本委員】
　時間のない中、申し訳ありません。１点だけですけれども、先ほど町田先生などからコメントありました協議についてです。
　基本的には、KAMでもそうですけれども、経営者との協議を行っておりますけれども、やはりその結果として、経営者の責任で内部統制を構築していくということが結論でございまして、それを開示するということが、やはり筋ではないかと考えております。
　先ほども申し上げましたけれども、なかなかそこを監査人の側で情報開示をしていくということは現時点では難しいのではないかというふうに考えていますので、その点、補足をさせていただきました。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございます。
　それでは、金子委員、最後にお願いいたします。

【金子委員】
　先ほど熊谷委員が大企業と中小企業で問題の本質はかなり違うのではないのかとおっしゃった点は、重要な指摘だと思います。数値基準のところで申し上げたとおり、理屈からいうとおかしいんだけれども、現実的な対応として、中小規模の企業において、理論的にリスクを評価し評価範囲を決定するのは、なかなか難しい面があることも御考慮いただけると有難いと思っております。
　以上です。すいません。ありがとうございました。

【橋本内部統制部会長】
　ありがとうございました。多数の貴重な御意見を、本日はありがとうございました。
　それでは、本日の審議はこれで終了させていただきたいと思います。本日、様々な御意見を頂きありがとうございました。部会長としては、本日頂いた御意見を踏まえ、次回以降の内部統制部会では、内部統制基準、実施基準の改訂について事務局より具体的に御説明し、それに基づきまして、委員の皆様より御質問、御意見を伺ってまいりたいと思います。
　それでは、最後に次回の日程等について事務局から説明をお願いいたします。

【齊藤開示業務室長】
　ありがとうございます。今後の日程につきましては、改めて事務局から御連絡させていただきます。

【橋本内部統制部会長】
　これにて本日の内部統制部会を終了いたします。皆様、どうもありがとうございました。
 

以上